防反木马软件分发

Share

|

抵御这种攻击类型分为三类：用户意识，管理员完整性检查，并仔细测试新的软件。 首先，你和你的组织必须认识到这一威胁。 没有基本知识，想要反抗，你就保证了输。 你的政策必须明确指出用户严禁从安装未经授权的程序对你的组织的系统。 用户不应设置任何突发软件更新到达的邮件，无论怎样的"官"他们似乎是。 我不关心，如果包包括公司标志;它绝不应安装。 如果任何更新做得出，他们应立即向安全团队。 如果您需要更新用户的系统里面，你应该有一个正式的计划，宣布你如何将分发软件给他们。 这一计划应包括在用户宣传材料。

此外，把一个宣传运动，让你的电脑使用者和管理者都知道攻击者有时会散发讨厌软件通过互联网或什至经由蜗牛邮件。 装扮你的意识，努力设立一个摊位外的餐厅与多彩的标志和气球。 我呼吁这froo - froo组件的一个安全意识运动，因为它的既不深，也不是技术性的。 尽管如此， froo - froo很重要，因为它得到用户的关注。 分发简单的传单傻卡通你的用户基础，让他们知道如何做正确的事情。 虽然坚实的安全意识，程序要花很多工作，它可以同乐。 事实上，它就会得到更加有效的，如果它的娱乐性和充分的froo - froo而非只是重蹈怕谈政策，这怎么-怎么-怎么政策怎么-怎么-怎么。 典型用户迅速调出任何对话，他们并不了解或关心，但如果它有降温的气球和卡通画，他们只可能是听。

另一个重要领域，为抵御这些攻击涉及的行政程序，以便核对完整的软件包，你下载。 每当我升级一个软件工具，横跨互联网，我总是下载副本，至少从三个不同的镜子。 当时我核实完整的节目，用强大的加密哈希针对每一面镜子的副本，以确保他们的所有比赛。 你可以创建一个的md5散列，种像一个数字指纹，因为任何档案利用大靠计划包括在大多数linux发行。 关于窗户，你可以用免费md5summer程式撰写的卢克pascoe ，可在www.md5summer.org 。 因为的md5是单向散列函数，攻击者会觉得它非常，非常困难，以营造出一个木马与精确相同的散列为合法程序。 由困难的，我的意思是，他们将需要一台超级计算机运行数千年来创造一个邪恶的计划，有确实的同一散列作为你的好节目。 最低限度，就是这样一个思路，如果这些是单向的算法都是一样好，我们希望他们的影响。

很多网站的分销软件，包括一个文件包含的md5散列的最新版本对网站本身。 但是，我不舒服，下载程序只是一个单一的一面镜子和遏制这种单一的哈希来自同一网站。 想一想。 如果攻击者有可能妥协，一个单一的网站，并trojanize软件，他们当然可以更改这些文件的哈希对同一网络服务器。 想法这里是一个攻击者，将有一个更困难的时候妥协的几个镜子的守则，因此，我将能够赶上他们的奸诈通过观察不同版本对镜。 下载从多个镜检查，为求一致跨越他们，我碰到好得多赔率说，攻击者并没有妥协，他们所有的，我也会有一个完整的软件在运行。 不幸的是，如果后视镜可自动更新，从一个单一的中央服务器，我仍然输，如果坏人污染了代码对主服务器。 我已经提出了一些酒吧比较哈希多个镜子，但坏人也可以跨越更高的酒吧。

一些软件下载站点超出哈希值，并包括一个数字签名的软件，利用公钥加密软件包，例如不错的隐私（ pgp的） 。 如果你下载任何软件，如签名，你应该核实这些签名利用一个适当的包装，如开放源代码克隆的pgp所谓的"民族团结隐私卫队" ，可免费在www.gnupg.org 。 当然，攻击者可以修改数字签名或什至取代关键用于签署一揽子。 不过，这种攻击将更为困难，因此，不太可能。

最后，你应该总是测试新的工具之前，轧制他们到生产中。 这样的测试过程中，不仅给你一个机会，以检测恶意软件在进步，但它也提供给您一些宝贵的时间，好让别人发现问题，然后你盲目地把代码投入生产。 我的工作之一，与银行，其培根挽回一命，只因为他们花费最少1个月审查任何新版本的sendmail ，然后才将它投入生产。 我喜欢告诉你，当他们发现sendmail的后门，而他们在寻找通过程序在评估网络。 不过，他们都没有发现它。 还有，虽然他们分析了新版本，以确保它满足企业功能需求外，其他乡亲已发现并宣传了后门，在2002年10月。 当听说银行对发现的一个后门，在这个版本的sendmail的，他们被迫从自己的系统进行测试，并没有推出，它的建成投产。 内置式的滞后性，他们的分析过程中，肯定有助于这个组织，避免一场灾难。 关键的安全补丁，快速部署，是关键性问题。 简单的升级或新功能，数星期滞后其实可以有助于提高安全性。